PR

 VISAやJCBなどクレジットカードの国際ブランドが共同策定したカード情報保護のためのセキュリティー基準。準拠すればカード不正利用の防止につながる。

 コンビニエンスストアやタクシーなど、生活のあらゆる場面でクレジットカードが使えるようになりました。ネット通販の決済手段としても有力です。

 ただし、クレジットカードには常に不正利用のリスクがつきまといます。昔からある紛失時の不正利用のほか、最近では「スキミング」「フィッシング」など、カード加盟店側のセキュリティーに問題があるためにカード番号が漏えいし、不正利用につながるケースが増えています。

 そこで、VISAやJCBなどカードの国際ブランド5社は共同で、2004年に「PCI DSS(PCIデータセキュリティ標準)」を策定。基準を満たした企業を認証し始めました。2007年から日本のカード業界でも認証を取得する動きが活発になっています。

効果◆不正利用を防止

 PCI DSSはコンピュータセキュリティーから従業員による内部不正の可能性までを考慮した、体系的な基準です。JCBやVISAなどは、カード会員情報を格納したり処理・伝送したりするすべての企業にこの基準を満たすよう推奨または義務付けています。具体的にはカード発行会社や加盟店契約会社、決済代行業者などが対象です。

 情報セキュリティーの認証基準としてはISMS(情報セキュリティマネジメントシステム)などが先行して普及していますが、PCI DSSはカード情報に特化した、より具体的な基準だといえます。第三者からの認証取得をアピールしてカード決済に対する顧客からの信頼感を高めるほか、自己診断にも使えます。

 PCI DSSの文書は、英語・日本語など各国語版がPCIセキュリティ標準協議会のウェブサイトで公開されています。「保存されたカード会員データを安全に保護すること」「カード会員データへのアクセスを業務上の必要範囲内に制限すること」など大きく12の要件を定義。各要件の中ではさらに細かく、「データの保管と廃棄に関するポリシーを作成する」「カードの暗証番号は保存しない」「(従業員などが見る画面では)カード番号は全体を表示させない」といった基準を示しています。

事例◆楽天が認証取得

 VISAカードなどを発行する三井住友カード(東京・港)は2007年9月、国内のカード発行会社として初めてPCI DSSに完全準拠したという認証を取得しました。PCIセキュリティ標準協議会公認の評価ベンダーであるNTTデータ・セキュリティ(同)が監査して認定証を発行しました。カード加盟店側では、楽天が2008年1月に、「楽天市場」の決済プロセスについて国内のネット通販サイトとして初めてPCI DSSに完全準拠し認証を取得したと発表しています。